Partager via


Configuration de super utilisateurs pour Azure Information Protection ainsi que pour les services de découverte ou la récupération des données

Grâce à la fonctionnalité de super utilisateur du service Azure Rights Management d’Azure Information Protection, les personnes et services autorisés peuvent toujours lire et inspecter les données qu’Azure Rights Management protège pour votre organisation. Si nécessaire, la protection peut ensuite être supprimée ou modifiée.

Un super utilisateur a toujours le droit d’utilisation Contrôle total Rights Management pour les documents et emails qui ont été protégés par le client Azure Information Protection de votre organisation. Cette capacité, parfois appelée « raisonnement sur les données », est un élément déterminant pour conserver le contrôle des données de votre entreprise. Par exemple, vous pouvez utiliser cette fonctionnalité pour les scénarios suivants :

  • Un employé quitte l’organisation et vous devez lire les fichiers qu’il a protégés.

  • Un administrateur doit supprimer la stratégie de protection actuellement configurée pour les fichiers et appliquer une nouvelle stratégie de protection.

  • Serveur Exchange doit indexer les boîtes aux lettres pour des opérations de recherche.

  • Vous avez des services informatiques existants pour les solutions de prévention contre la perte de données (DLP), les passerelles de chiffrement de contenu (CEG) et les produits anti-programme malveillant qui doivent inspecter des fichiers déjà protégés.

  • Vous devez déchiffrer des fichiers en bloc à des fins d’audit, juridiques ou de conformité.

Configuration de la fonctionnalité super utilisateur

Par défaut, la fonctionnalité de super utilisateur n’est pas activée et ce rôle n’est attribué à aucun utilisateur. Il est activé pour vous automatiquement si vous configurez le connecteur de gestion des droits pour Exchange, et il n'est pas nécessaire pour les services standard qui exécutent Exchange Online, Microsoft Sharepoint Server ou SharePoint dans Microsoft 365.

Si vous devez activer manuellement la fonctionnalité de superutilisateur, utilisez l’applet de commande PowerShell Enable-AipServiceSuperUserFeature, puis affectez des utilisateurs (ou des comptes de service) selon les besoins à l'aide de l’applet de commande Add-AipServiceSuperUser ou de l’applet de commande Set-AipServiceSuperUserGroup et ajoutez des utilisateurs (ou d'autres groupes) selon les besoins à ce groupe.

Bien que l’utilisation d’un groupe de super utilisateurs soit plus facile à gérer, n’oubliez pas que pour des raisons de performances, Azure Rights Management met en cache l’appartenance au groupe. Ainsi, si vous devez assigner un nouvel utilisateur en tant que superutilisateur pour déchiffrer le contenu immédiatement, ajoutez cet utilisateur en utilisant Add-AipServiceSuperUser, plutôt que d'ajouter l'utilisateur à un groupe existant que vous avez configuré en utilisant Set-AipServiceSuperUserGroup.

Remarque

  • Lors de l’ajout d’un utilisateur avec l’applet de commande Add-AipServiceSuperUser , vous devez également ajouter l’adresse de messagerie principale ou le nom d’utilisateur principal au groupe. Les alias de messagerie ne sont pas évalués.

  • Si vous n'avez pas encore installé le module Windows PowerShell pour Azure Rights Management, consultez Installation du module PowerShell AIPService.

Cela n’a pas d’importance lorsque vous activez la fonctionnalité super utilisateur ou lorsque vous ajoutez des utilisateurs en tant que super utilisateurs. Par exemple, si vous activez la fonctionnalité le jeudi, puis ajoutez un utilisateur le vendredi, cet utilisateur peut ouvrir immédiatement du contenu protégé au début de la semaine.

Recommandations de sécurité pour la fonctionnalité de super utilisateur

  • Restreignez et surveillez les administrateurs auxquels est attribué un administrateur global pour votre client Microsoft 365 ou Azure Information Protection, ou auxquels est attribué le rôle GlobalAdministrator à l'aide de l’applet de commande Add-AipServiceRoleBasedAdministrator. Ces utilisateurs peuvent activer la fonctionnalité de super utilisateur, ainsi que désigner des utilisateurs (et eux-mêmes) comme super utilisateurs, et potentiellement déchiffrer tous les fichiers que votre organisation protège.

  • Pour voir quels utilisateurs et comptes de service sont désignés comme super utilisateurs, utilisez l’applet de commande Get-AipServiceSuperUser.

  • Pour savoir si un groupe de super utilisateurs est configuré, utilisez l’applet de commande Get-AipServiceSuperUserGroup et vos outils de gestion d’utilisateur standard pour vérifier les utilisateurs qui sont membres de ce groupe.

  • Comme toutes les actions d’administration, les opérations d’activation ou de désactivation de la fonctionnalité de super utilisateur, ainsi que d’ajout ou de suppression de super utilisateurs sont enregistrées et peuvent être auditées à l’aide de la commande Get-AipServiceAdminLog. Par exemple, consultez Exemple d’audit pour la fonctionnalité super utilisateur.

  • Quand les super utilisateurs déchiffrent des fichiers, l’action est enregistrée et peut être auditée à l’aide de la journalisation de l’utilisation.

    Remarque

    Bien que les journaux incluent des détails sur le déchiffrement, y compris l’utilisateur qui a déchiffré le fichier, ils ne notent pas quand l’utilisateur est un super utilisateur. Utilisez les journaux avec les applets de commande répertoriées ci-dessus pour collecter d’abord une liste de super utilisateurs que vous pouvez identifier dans les journaux.

  • Si vous n’avez pas besoin de la fonctionnalité de super utilisateur pour les services quotidiens, activez-la uniquement lorsque nécessaire, puis désactivez-la à l’aide de l’applet de commande Disable-AipServiceSuperUserFeature.

Exemple d’audit pour la fonctionnalité super utilisateur

L’extrait de journal suivant montre des exemples d’entrées lors de l’utilisation de l’applet de commande Get-AipServiceAdminLog.

Dans cet exemple, l’administrateur de la société Contoso Ltd confirme que la fonctionnalité de super utilisateur est désactivée, ajoute Richard Simone comme super utilisateur, vérifie que celui-ci est bien le seul super utilisateur configuré pour le service Azure Rights Management, puis active la fonctionnalité de super utilisateur pour permettre à Richard de déchiffrer des fichiers protégés par un employé qui a quitté la société.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Options de script pour les super utilisateurs

Il arrive souvent qu'une personne à qui l'on a attribué un super utilisateur pour Azure Rights Management doive supprimer la protection de plusieurs fichiers, à plusieurs endroits. Bien qu'il soit possible de le faire manuellement, il est plus efficace (et souvent plus fiable) de le faire par script à l'aide de l’applet de commande Set-AIPFileLabel.

Si vous utilisez la classification et la protection, vous pouvez également utiliser Set-AIPFileLabel pour appliquer une nouvelle étiquette n’appliquant pas la protection, ou supprimer l’étiquette qui a appliqué la protection.

Pour plus d’informations sur ces applets de commande, consultez Utilisation de PowerShell avec le client Azure Information Protection dans le guide de l’administrateur du client Azure Information Protection.

Remarque

Le module AzureInformationProtection est différent et complète le module PowerShell AIPService qui gère le service Azure Rights Management pour Azure Information Protection.

Suppression de la protection sur les fichiers PST

Pour supprimer la protection sur les fichiers PST, nous vous recommandons d’utiliser eDiscovery de Microsoft Purview pour rechercher et extraire des emails protégés et des pièces jointes protégées dans les emails.

La fonctionnalité super utilisateur est automatiquement intégrée à Exchange Online afin que eDiscovery dans le portail de conformité Microsoft Purview puisse rechercher des éléments chiffrés avant l’exportation ou déchiffrer des emails chiffrés lors de l’exportation.

Si vous ne pouvez pas utiliser Microsoft Purview eDiscovery, vous pouvez avoir une autre solution eDiscovery qui s’intègre au service Azure Rights Management pour une raison similaire sur les données.

Ou, si votre solution eDiscovery ne peut pas lire et déchiffrer automatiquement le contenu protégé, vous pouvez toujours utiliser cette solution dans un processus en plusieurs étapes avec l’applet de commande Set-AIPFileLabel :

  1. Exportez l’email en question vers un fichier PST à partir d’Exchange Online ou d’Exchange Server, ou à partir de la station de travail où l’utilisateur a stocké son email.

  2. Importez le fichier PST dans votre outil eDiscovery. Étant donné que l’outil ne peut pas lire le contenu protégé, il est prévu que ces éléments génèrent des erreurs.

  3. À partir de tous les éléments que l’outil n’a pas pu ouvrir, générez un nouveau fichier PST que cette fois- ci contient uniquement des éléments protégés. Ce deuxième fichier PST sera probablement beaucoup plus petit que le fichier PST d’origine.

  4. Exécutez Set-AIPFileLabel sur ce deuxième fichier PST pour déchiffrer le contenu de ce fichier beaucoup plus petit. À partir de la sortie, importez le fichier PST maintenant déchiffré dans votre outil de découverte.

Pour obtenir des informations et des conseils plus détaillés sur l’exécution d’eDiscovery dans les boîtes aux lettres et les fichiers PST, consultez le billet de blog suivant : Processus Azure Information Protection et eDiscovery.